Application Framework
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.38441
Распределение по критичности
Критический
0
Высокий
1
Средний
7
Низкий
0
Затронутые диапазоны версий
≤ 3.3.5
Также сопоставлено как (исходные строки): application_framework,groupware
Топ уязвимостей
CVE-2006-1491Уязвимость eval-инъекции в Horde Application Framework версий 3.0 до 3.0.10 и 3.1 до 3.1.1 позволяет удаленным злоумышленникам выполнять произвольный код через средство просмотра справки.
CVE-2009-3236Библиотека форм в Horde Application Framework 3.2 до версии 3.2.5 и 3.3 до версии 3.3.5; Groupware 1.1 до версии 1.1.6 и 1.2 до версии 1.2.4; и Groupware Webmail Edition 1.1 до версии 1.1.6 и 1.2 до версии 1.2.4; повторно использует временные имена файлов во время процесса загрузки, что позволяет удаленным злоумышленникам, имеющим привилегии для записи в адресную книгу, перезаписывать произвольные файлы и выполнять код PHP через специально созданные элементы поля формы Horde_Form_Type_image.
CVE-2009-4363Text_Filter/lib/Horde/Text/Filter/Xss.php в Horde Application Framework до 3.3.6, Horde Groupware до 1.2.5 и Horde Groupware Webmail Edition до 1.2.5 неправильно обрабатывает data: URI, что позволяет удаленным злоумышленникам проводить межсайтовые скриптовые (XSS) атаки через data:text/html значения для атрибута HREF элемента A в HTML-сообщении электронной почты. ПРИМЕЧАНИЕ: поставщик заявляет, что проблема вызвана "уязвимостью XSS в браузерах Firefox".
CVE-2009-3701Множественные межсайтовые скриптовые (XSS) уязвимости в интерфейсе администрирования в Horde Application Framework до 3.3.6, Horde Groupware до 1.2.5 и Horde Groupware Webmail Edition до 1.2.5 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через PATH_INFO в (1) phpshell.php, (2) cmdshell.php или (3) sqlshell.php в admin/, связанные с переменной PHP_SELF.
CVE-2008-5917Уязвимость межсайтового скриптинга (XSS) в фильтре XSS (framework/Text_Filter/Filter/xss.php) в Horde Application Framework 3.2.2 и 3.3, при использовании Internet Explorer, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неизвестные векторы, связанные с атрибутами style.
CVE-2006-4256index.php в Horde Application Framework до 3.1.2 позволяет удаленным злоумышленникам включать веб-страницы с других сайтов, что может быть полезно для фишинговых атак, через URL-адрес в параметре url, также известный как «межсайтовая переадресация». ПРИМЕЧАНИЕ: некоторые источники называют эту проблему XSS, но она отличается от классической XSS.
CVE-2005-0961Уязвимость межсайтового скриптинга (XSS) в Horde 3.0.4 до 3.0.4-RC2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через заголовок родительского фрейма.
CVE-2004-2741Уязвимость межсайтового скриптинга (XSS) в "окне справки" (help.php) в Horde Application Framework 2.2.6 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметры (1) module, (2) topic или (3) module.